windows 怎么让dll文件每次自动执行_Type 1字体解析远程代码执行漏洞风险提示

最新推荐文章于 2023-04-12 22:42:08 发布
最新推荐文章于 2023-04-12 22:42:08 发布
阅读量257 收藏
点赞数
文章标签: windows 怎么让dll文件每次自动执行 未能解析此远程名称 查看exe代码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39960920/article/details/111273412
版权

a9246f1ea37e0c60373e028b0afd9db1.png

0x00 漏洞概要 1

漏洞名称:Type 1字体解析远程代码执行漏洞

威胁类型:远程代码执行

威胁等级:严重

利用场景:

攻击者可以通过构造包含恶意代码的字体文件,通过多种方式利用此漏洞,例如诱使用户打开特制文档或在Windows预览窗格中查看它。

漏洞描述:

当Windows Adobe类型管理器库不适当地处理特制的多主字体-Adobe Type 1 PostScript格式时,Microsoft Windows中存在两个远程执行代码漏洞。

影响版本:

  • Windows 10

  • Windows 7

  • Windows 8等版本(详见漏洞详情)

0x01漏洞背景 2

近日,微软公司发布了一份编号ADV200006的紧急漏洞通告,通告表示有针对性的有限攻击可能会利用AdobeType Manager库中未修补的两个远程代码执行0Day漏洞,鉴于漏洞严重,发布该通告指导用户在补丁发布前规避风险。

据悉,这两个远程代码执行漏洞的原因主要是WindowsAdobe Type Manager Library并没有正确处理特殊构造的多重母版字体——AdobeType1 PostScript格式,漏洞评估严重,已停止服务的WIN7也受到漏洞影响。

攻击者可通过多种场景实施攻击,比如说服受害者在Windows的预览中访问一个特殊构造的文档。

目前微软正在准备漏洞相关的补丁,预计下个月的补丁日会发布,暂时只提供缓解方式。

0x02漏洞详情 3

当WindowsAdobe类型管理器库不适当地处理特制的多主字体AdobeType 1 PostScript格式时,MicrosoftWindows中存在两个远程执行代码漏洞。

攻击者可以通过多种方式利用此漏洞,例如说服用户打开特制文档或在Windows预览窗格中查看它。

华云安第一时间跟进了该漏洞,Microsoft已意识到此漏洞,并正在进行修复。解决Microsoft软件中安全漏洞的更新通常在每月的第二个星期二发布。这种可预测的时间表可用于合作伙伴质量保证和IT计划,从而有助于将Windows生态系统作为可靠且安全的选择。由于该漏洞的威胁等级已经达到了严重级且影响范围较广,微软暂未发布补丁,紧急用户暂时只能参阅缓解措施和变通办法,以获取有关如何降低风险的指导。

以下是详细的受影响系统版本:

30733a1941a40184b923e069e4dc9600.png

0x03漏洞验证 4

文件资源管理器,在菜单栏的查看项中,检查窗格栏中是否有开启“预览窗格”或“详细信息窗格”,如果有开启其中一个,则可能存在漏洞风险。

0fdd85af08c0b9a47f0ff49c8e6b8b66.png

0x04处置建议 5

参考以下链接尽快修复:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/adv200006

微软在通告中提供了多种选择,用户可以自行选择(具体见参考链接)

1.重命名ATMFD.DLL

32位操作系统处理方式:

在管理员权限的命令行里输入以下命令执行完成后重启系统

cd"%windir%\system32"

takeown.exe/f atmfd.dll

icacls.exeatmfd.dll /save atmfd.dll.acl

icacls.exeatmfd.dll/grant Administrators:(F)

renameatmfd.dll x-atmfd.dl

64位操作系统处理方式:

在管理员权限的命令行里输入以下命令执行完成后重启系统

cd"%windir%\system32"

takeown.exe/f atmfd.dll

icacls.exeatmfd.dll /save atmfd.dll.acl

icacls.exeatmfd.dll/grant Administrators:(F)

renameatmfd.dll x-atmfd.dll

cd"%windir%\syswow64"

takeown.exe/f atmfd.dll

icacls.exeatmfd.dll /save atmfd.dll.acl

icacls.exeatmfd.dll/grant Administrators:(F)

renameatmfd.dll x-atmfd.dll

对于Windows8.1 及更低版本操作系统还可通过以下操作禁用ATMFD(官方建议谨慎使用):

方法一:

1、使用管理员账户打开注册表(regedit.exe)

2、在注册表中,位置位于

HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows的目录下,新建命名为DisableATMFD的DWORD值项,并将其DWORD值设为1

48b78b6312f7949b8437fb1a7c574e0f.png

3、重新启动系统

方法二:

1、新建一个文本文件,并写入以下代码:

Windows Registry EditorVersion 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows]

"DisableATMFD"=dword:00000001

将文件名命名为ATMFD-disable.reg(后缀命需改为.reg,即改为注册表文件)

229e10734f75967a90905650a3e4647b.png2、使用管理员账户打开注册表

(regedit.exe),在菜单“文件”中,“导入”ATMFD-disable.reg注册表文件,确定后关闭注册表。

注:使用以上方法后依赖嵌入字体技术的应用程序将无法正确显示。禁用ATMFD.DLL可能导致某些使用OpenType字体的应用程序停止正常运行。MicrosoftWindows 自身不会发布任何OpenType字体。但是,第三方应用程序可能会安装这些字体并且可能会受到此更改影响。

2.禁用WebClient服务

1)在windows开始菜单中选择运行(或使用win+r开启),输入Services.msc,回车打开

2)找到WebClient服务,右键选择属性,停止运行该服务,并将启用类型更改为禁用ee3a9f8a50f0c6aa83b3c16a7a68f33c.png2b3bf5e5d5dfb18918d0a134bfeb2dcd.png

3)选择确定,关闭服务管理程序。

注:当禁用WebClient服务时,不会传输 Web 分布式创作和版本管理(WebDAV)请求,所有明确依赖于WebClient服务的任何服务将不会启动,并且会在系统日志中记录错误消息。例如,将无法从客户端计算机访问WebDAV共享。

3.禁用预览窗格和详细信息窗格

  • Windows7

  • Windows8.1 

  • WindowsServer 2008

  • WindowsServer 2008 R2

  • WindowsServer 2012

  • WindowsServer 2012 R2

处理方式:

1)打开Windows资源管理器,单击组织,选择布局,取消详细信息窗格和预览窗格的菜单选项。

a997299084a5b9823093ffc29e3c4543.png

2)单击组织,选择文件夹和搜索选项。

3cc0ff12b1eccbf8c0812b50837527f0.png

3)选择查看选项卡,找到并勾选“始终显示图标,从不显示缩略图”选项。

02c75114239e3f4ea8ad383c87ec2863.png

4)选择确定,关闭文件夹选项。

注:使用该方法后Windows资源管理器将不会再自动显示OTF 字体。

9f7eafb7703c694f2f3b5692dd7b8cc0.png

weixin_39960920
关注
给注入explorer.exedll添加上开机自动启动的功能
qq_20113959的博客
03-11 2960
给注入explorer.exedll添加上开机自动启动的功能 在此处我们通过写注册表的方式进行开机启动 void AutoRunFun() { TCHAR szFullPath[MAX_PATH + 1] = { 0 };//定义存放当前文件的字符串变量 GetModuleFileName(NULL,szFullPath,MAX_PATH);//获取当前文件的路径 LPCTSTR lpSu...
mysql漏洞如何打补丁_漏洞治理(漏洞情报)调研报告
weixin_39851457的博客
11-23 1426
君哥有话说漏洞运营和安全资产运营是快速收敛攻击面的最有效的两个措施,需要企业安全建设负责人首要关注,并投入大量精力确保漏洞管理的各项细节落地,包括漏洞发现、漏洞推修、漏洞验证等各个环节,这里面的细节很多,比如覆盖率、漏扫范围、漏扫技术细节(未登陆扫描、被动式扫描)、漏扫类别、漏洞修复方式、不能修的漏洞补偿性措施、漏洞考核、避免历史漏洞重现等等。推荐泉哥的一本书《漏洞战争:软件漏洞分析精要...
dll文件怎么执行_微软再曝高危远程代码执行漏洞 临时防护措施戳这里
weixin_39953244的博客
11-23 77
一、漏洞概况北京时间3月24日,微软紧急发布一则Type 1字体解析远程代码执行漏洞警报(ADV200006)。该漏洞是由于Windows内置的Adobe Type Manager库在解析特制的Adobe Type 1 PostScript格式时处理不当引起,可导致远程代码执行。攻击者可通过多种方式利用此漏洞,例如诱导用户打开或在 Windows 预览窗格中查看有威胁的文档。该漏洞微软评级为 “C...
C#创建windows服务并定时执行
weixin_33910385的博客
08-08 322
一、创建window服务 1、新建项目-->选择Windows服务。默认生成文件包括Program.cs,Service1.cs 2、在Service1.cs添加如下代码:        System.Timers.Timer timer1;  //计时器         public Service1()         {             InitializeComp...
【安全风险通告】Windows Type 1字体解析远程代码执行漏洞安全风险通告
smellycat000的专栏
03-24 998
微软官方今天发布了编号为ADV200006的安全通告,其中包含两枚Adobe字体管理库相关的严重远程代码执行漏洞,其中一枚漏洞为奇安信代码安全实验室提交...
字体漏洞
thesum的专栏
07-08 1312
http://netsecurity.51cto.com/art/201507/483503.htm
OWASP_top_10漏洞的总结笔记
热门推荐
Mi1k7ea
04-11 2万+
这里简单地写一些关于OWASP top 10 漏洞的一些利用技巧以及检测方法、防御方法等的笔记(很多是参考了《Web漏洞讲解》),有新的理解和学会好的方法之后会更新~ 同时也希望各位大牛给给建议~ SQL Injection&Blind SQL Injection(SQL注入与SQL盲注漏洞): 一、绕过WAF的方法: 1. 大小写绕过 2. 简单编码绕过 3. 注释绕过: ...
Adobe Reader 缓冲区溢出漏洞 (CVE-2010-2883)漏洞分析报告
m0_64973256的博客
01-20 944
一.简介 软件名称:Adobe Reader 影响范围:7.0.0-9.3.4版本 影响平台:Windows 漏洞模块:CoolType.dll 威胁等级:高危 漏洞类型:缓冲区溢出 威胁路径:远程 机密性影响:完全的信息泄露导致所有系统文件暴露 完整性影响:系统完整性可被完全破坏 可用性影响:可能导致系统完全宕机 攻击复杂度:漏洞利用存在一定的访问条件 攻击向量:攻击者不需要获取内网访问权或本地访问权 身份认证:漏洞利用无需身份认证 二.软件介绍 Adobe Rea...
OWASP top 10 漏洞
weixin_50848778的博客
10-27 592
**SQL Injection&Blind SQL Injection(SQL注入与SQL盲注漏洞): 一、绕过WAF的方法: 大小写绕过 简单编码绕过 注释绕过: 如?id=1 uni//on sele//ct 1,2,3 # 分隔重写绕过: 适用于WAF采用正则表达式检测所有的敏感字的情况,可以通过注释分开敏感字,如?id=1 un//ion sel//ect 1,2,3 #;至于重写绕过,适用于WAF过滤了一次的情况,如uniunionon,有时候可能还有多次过滤的情况,这
CVE-2010-3333 Microsoft RTF栈溢出漏洞分析
weixin_50287973的博客
08-25 934
参考:《漏洞战争》 漏洞描述 Microsoft Office XP SP3,Office 2003 SP3,Office 2007 SP2,Office 2010等多个版本的Office软件中的Open XML文件格式转换器存在栈溢出漏洞,主要是在处理RTF中的“pFragments”属性时存在栈溢出,导致远程攻击者可以借助特制的RTF数据执行任意代码,因此该漏洞又名“RTF栈缓冲区溢出漏洞”。 分析环境 所用环境 操作系统 windows xp sp3 调试器 windbg 漏
获取系统可用字体(源代码+dll+lib)
05-06
通过调用dll可以直接看到系统当前可用的字体列表。调用dll时为了让您更快捷的完成您需要的操作(至少不用写对话框了,不用写函数代码了)。当然,您也可以查看dll代码,利用里面的方法(函数)实现您需要的功能。
Cad 二次开发 怎么实现 在启动Cad的时候自动加载dll文件(不需要手动输入netload)
最新发布
ultramand的博客
04-12 2804
点击 启动组=>添加=>点击Test.lsp=>打开。打开Cad,点击工具=>加载应用程序。保存后缀lsp,Test.lsp。
11、dll 在程序中的加载方法
SKT allsunday的博客
08-07 609
一般程序要使用到dll中的函数,但是实际的dll中函数地址 的提供方法分两种, runtime提供dll 直接在runtime 提供dll,在程序运行过程中,先把dll载入到内存,此时如果卸载该dll,例如,freedlldllname);程序照样运行,这时你就可以写个新的dll,又加入到内存,再把上一次用到dll 中函数地址的指针变一下(指向其他内存),就可以继续用新的dll,于是有了新的功能,并且不用去关闭程序,做到实时的dll更新。 #define GET_STATE(name) DWORD WIN
DLL注入之注册表注入
u013267687的专栏
05-07 1786
我的原博客位置:http://halfofpoetry.github.io/2020/05/07/DLL%E6%B3%A8%E5%85%A5%E4%B9%8B%E6%B3%A8%E5%86%8C%E8%A1%A8%E6%B3%A8%E5%85%A5/ 注册表注入DLL 顾名思义,就是通过注册表的方式,把需要的执行代码片段,注入到目标程序中,使目标程序执行指定的代码片段,从而达到预期效果。 该...
Windows环境中运行.dll文件
在下令狐的博客
06-28 6015
Windows环境中运行.dll文件
超强补丁技术_让EXE启动时自动加载你的DLL(含VC6写的DLL源码模版)
追逐光芒,追随内心
03-03 2148
目前很多EXE都是没有源代码的,如果要让这个EXE加载你写的DLL,除了LPK这种只能在旧系统里面运行的技术,还有一种方法就是给EXE加一个代码段,让exe启动的时候加载你写的DLL。那些不如写个exe直接修改目标程序的汇编内存,岂不是更方便,何必搞这个呢。其实不然,本贴的技术可以大大提高程序的安全性和简约化,至少不用你自己写一个exedll去注入到目标程序。 本帖技术,在PC时代的时候,很流行。特别是病毒感染这块。 本帖技术 支持win10,win7, 包括64位的win7系,和老系统XP,这个是PE加
双击某些*.dll文件自动打开很多非法网页,为什么!
myvolitation的专栏
07-14 1291
电脑里某些*.dll(如:found000.dll、found001.dll等)文件双击后,ie会自动打开许多诸如**激情、**交友等网页,而且打开速度快数量多,让你关都关不及,多次杀毒也没有结果,请问这是怎么回事,改如何处理?
深入解析Windowsexe执行文件的运行机制
"本文主要探讨了Windows环境下exe执行文件的运行原理,涵盖了从程序的初始化、主函数的运行过程到程序收尾工作的整个生命周期。文章适合对Windows操作系统和Windows编程有一定了解的读者,旨在以通俗易懂的方式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值